GDPRの罰金と通知

GDPR_fines_and_notices

には、無差別、過度、または無関係な例が含まれている可能性が
には、ハンガリーのDPAによって課せられた罰金
これは、これまで英語または欧州データ保護委員会サイト
の全国ニュースセクションで
公開されていないため
一般データ保護規則（GDPR）は、欧州経済領域におけるデータ保護と電子プライバシーの基準、および個人を特定できる情報の処理と配布を管理する欧州市民の権利を指定する欧州連合の 規則です。
GDPRの違反者には、最高2，000万ユーロ、または前会計年度の世界の年間売上高の最大4％のいずれか大きい方の罰金が科せられる場合が以下は、GDPRに基づいて発行された罰金と通知のリストであり、理由も含まれています。

罰金と通知
日にち
組織 額 が発行
理由 2018-10 バレイロ病院
€400，000
ポルトガル（CNPD）
「…データベースへのアクセスポリシーに基づいており、技術者や医師が適切な許可なしに患者の臨床ファイルを参照できるようになりました。」
2018-11-21
Knuddels.de（ドイツのソーシャルネットワーク）
20，000ユーロ
ドイツ（LfDI）
「…パスワードや電子メールアドレスを含む約33万人のユーザーの個人データへの不正アクセスと開示。」
2019-01-21 Google LLC 50，000，000ユーロ
フランス（CNIL）
行動広告を目的とした個人データの処理に関する不十分な透明性、管理、および同意。
2019-03-07
名前のない銀行
1，560ユーロ
ハンガリー（NAIH）
データ主体の要求によるデータの消去および修正の失敗。
2019-03-07
名前のない債権回収
1，560ユーロ
ハンガリー（NAIH） 透明性とデータ最小化の原則に違反しています。
2019-03-15
Bisnode（ビジネス、クレジット、市場情報）
220，000ユーロ
ポーランド（UODO） 個人データの秘密のスクレイピング。
2019-03-16
ドルヌィ・シロンスクサッカー協会
13，000ユーロ
ポーランド（UODO） 585人の審判の個人情報をウェブサイトに掲載。
2019-04-04
ルソー（参加型民主主義プラットフォーム）
50，000ユーロ
イタリア（GPDP）
ユーザーの個人データを保護できない。
2019-05-08
ベルゲンの自治体
170，000ユーロ
ノルウェー（Datatilsynet） パブリックストレージエリアで見つかった35，000人の学生と従業員のログイン資格情報をファイルします。
2019-05-16
MisterTango UAB（決済サービス）
61，500ユーロ
リトアニア（ADA）
支払いを行うために必要な数よりも多くの個人データを処理する。
2019-05-28
名前のないベルギーの市長
2，000ユーロ
ベルギー（GBA / APD）
選挙運動の目的で地方行政の目的で収集された個人データの悪用。 2019-06 リーガ
250，000ユーロ
スペイン（AEPD）
サッカーリーグのモバイルアプリ内でGPSとマイクの許可をリクエストする目的を十分に開示しアプリを開いたときに、ゲームのテレビ放送に埋め込まれた音響指紋を検出すると、ユーザーの位置を送信しました。これは、許可されていないフィードからゲームをスクリーニングしている可能性のある会場の場所を特定するために使用されました。
2019-06-11
IDDesign A / S（家具）
DKK 1，500，000
デンマーク（Datatilsynet）
古いシステムからの個人データの削除の失敗：必要以上に長い時間個人データを処理します。
2019-06-18
名前のない警察官
1，400ユーロ
ドイツ（LfDI）
非法的な目的で個人データを自律的に処理します。
2019-06-18
Sergic（不動産サービス）
€400，000
フランス（CNIL） 適切なセキュリティ対策の実施の失敗。不成功に終わった賃貸候補者の個人データの適切なデータ保持期間を定義しなかった。
2019-06-18
Uniontrad Company（翻訳サービス）
20，000ユーロ
フランス（CNIL） 従業員の過度のビデオ監視。メッセージングシステム用の単一の共有パスワード。慣行を変更するための以前のCNIL命令を無視します。
2019-06-24
EE（テレコム） £100，000 英国（ICO）
同意なしに、250万を超えるダイレクトマーケティングメッセージを顧客に送信します。
2019-06-27
UniCreditBankルーマニア
130，000ユーロ
ルーマニア（ANSPDCP）
適切な技術的および組織的対策の実施の失敗
2019-07-08
英国航空
£183，000，000
英国（ICO）
2018年のWebスキミング攻撃が50万人の消費者に影響を及ぼした、不十分なセキュリティ対策の使用。 後に2，000万ポンドに減額された
2020-10-30
マリオットインターナショナル
£18，400，000
英国（ICO）
何百万もの顧客の個人データを安全に保つことができない
2019-07-03
キャセイパシフィック £500，000 英国（ICO）
顧客の個人データのセキュリティを保護できない。2014年10月から2018年5月の間に、キャセイパシフィック航空のコンピューターシステムには適切なセキュリティ対策が欠けていたため、顧客の個人情報が公開されました。
2019-07-16 HagaZiekenhuis 460，000ユーロ
オランダ（AP）
医療記録の不十分なセキュリティ
2019-07-25
アクティブな保証
180，000ユーロ
フランス（CNIL） 適切なセキュリティ対策を実施していない。
2019-07-25
プライスウォーターハウスクーパース
150，000ユーロ
ギリシャ（HDPA） 従業員データの違法な処理。
2019-08-21
Skellefteå高校理事会
20，000ユーロ
スウェーデン（SDPA） 顔認識技術を使用して、無効な法的根拠に基づいて学校の生徒の出席を監視します。機密性の高い生体認証データを違法に処理し、スウェーデンのDPAとの事前協議を求めるなど、適切な影響評価を行わなかった。
2019-??-??
名前のない会社
3，135ユーロ
ハンガリー（NAIH） データ主体のアクセス権を侵害している。
2019-08-12
名前のない医療会社
55，000ユーロ
オーストリア（DSB） DPOを指名しない、連絡先の詳細を公開しない、監督当局に報告しない、データ主体の義務的な同意（Art。7）、情報を提供しない（Art。13、14）、機密データを処理しているにもかかわらずDPIAがない（Art。35 ）。
2019-08-12
名前のないオンライン小売業者
7，000ユーロ
ラトビア（DSI） データ主体への不適合、消去の権利、および監督当局との非協力。
2019-09-19
名前のない小売業者
10，000ユーロ
ベルギー（GBA / APD）
顧客ロイヤルティカードを作成するために電子IDカードを要求する。
2019-09-20
オンライン小売業者Morele.net
645，000ユーロ
ポーランド（UODO） 個人データの保護が不十分であり、約220万人のデータが漏洩する。
2019-10-17
ブエリング航空
30，000ユーロ
スペイン（AEPD）
プライバシーに関する通知に従って、顧客のCookieを処理するための有効な同意を取得できない。
2019-12-09
1＆1イオノス
€9，550，000
ドイツ（BfDI） 個人データの保護が不十分であり、コールセンターの顧客データを保護するための「十分な技術的および組織的対策」を実施していない。GDPRの第32条への違反
2019-12-17
玄関先ディスペンサリー £275，000 英国（ICO）
安全でない場所に500，000人の患者記録を残した「データ保護に対する騎士党の態度」
2020-01-15
TIM SpA 27，800，000ユーロ
イタリア（GPDP）
マーケティング目的での違法な処理
2020-03-10 Google LLC SEK 75 M （€7M）
スウェーデン（SDPA）
忘れられる権利の違反
2020-07-06 BKR €840，000
オランダ（AP）
個人データへの無料アクセスを提供できない、データにアクセスする簡単な手段を提供できない、個人あたりのリクエスト数に不当な制限を課す
2020-07-14
Google LLC（Googleベルギー）
600，000ユーロ
ベルギー（GBA / APD） 忘れられる市民の権利を尊重しない。
2020-10-01
H＆M 35，300，000ユーロ
ドイツ（HmbBfDI）
数百人の従業員の違法な監視
2020-12-10
アマゾンヨーロッパコアサール
35，000，000ユーロ
フランス（CNIL）
同意を得ずにCookieを預け入れ、ユーザーに提供する情報が不足している
2020-12-10 Google LLC 60，000，000ユーロ
同意を得ずにCookieを預ける、ユーザーに提供される情報が不足している、「反対」メカニズムに欠陥がある
2020-12-10
Google Ireland Limited
€40，000，000
2021-01-26 Grindr LLC 6500万ノルウェークローネ（650万ユーロ）
ノルウェー（Datatilsynet）
有効な同意なしに特別なカテゴリのデータを共有する
2021-03-10 FiligranaComunicación 8，000ユーロ
スペイン（AEPD）
アンダルシア教育局から正当な根拠なしにデータを収集して再利用し、情報の義務を履行しないことによるGDPR第6条（1）（a）、第6条（1）（f）、第13条および第14条の違反。
2021-03-17
Miljø-ogKvalitetsledelseAS
3，500ユーロ（35，000ノルウェークローネ）
ノルウェー（Datatilsynet）
法的根拠なしに、資産を破壊するデータ主体のCCTV記録をデータ主体の雇用主と共有することによる、GDPRの第6条（1）および第5条（1）（a）の違反。
2021-03-18
AirEuropaLíneasAéreasSA
600，000ユーロ
スペイン（AEPD）
適切な技術的および組織的対策の欠如と適切なレベルのセキュリティ、および個人データ侵害の通知の遅延による、第32条（1）および第33条GDPRの違反。
2021-03-22 FURNISHYOURSPACE SL 3，000ユーロ
スペイン（AEPD）
不明確な情報を提供し、Cookieを拒否するオプションを提供しなかったため、ベルリンDPAからの苦情により調査が開始された後、Cookieを規制するスペインの法律に違反しています。
2021-03-24
CP＆A BV
15，000ユーロ
オランダ（AP）
病気の従業員の健康データを処理することによる第4条（15）GDPR、第9条GDPR、および第32条GDPRへの違反、およびそのような処理に関する適切なセキュリティ対策の実施の失敗
2021-04-07
オレンジスペイン、SAU
150，000ユーロ（90，000ユーロに減額）
スペイン（AEPD）
ユーザーの同意を適切に取得せずに大量の一方的な商用通信を終了することによる、第6条（1）（a）および第7条GDPR、ならびに第21条（1）LSSIへの違反。
2021-04-14
自然人（家主）
3000ユーロ
スペイン（AEPD）
アパートの建物のビデオ監視システムに関連する第5条（1）（c）および第13条GDPRへの違反。
2021-04-15
ボーダフォンエスパーニャ、SAU
150，000ユーロ（90，000ユーロに減額）
スペイン（AEPD）
同意またはその他の法的根拠なしに個人データを処理することによる第6条（1）（a）GDPRへの違反。罰金を科すとき、AEPDは以下を考慮に入れました：
影響を受けるデータの種類：名前、名前、電話番号などの基本的な識別子。
回答者の処理と事業活動との関係。
同じ理由で以前の罰金。
消去要求に関する勤勉さの欠如。
AEPDは最終的にVodafoneに150，000ユーロの罰金を科しましたが、責任の引き受けと早期支払いにより、90，000ユーロに減額されました。
2021-04-22
CyfrowyPolsatSpółkaAkcyjna
250，000ユーロ
ポーランド（UODO）
宅配会社と協力する際に​​個人データのセキュリティを確保するための適切な技術的および組織的措置を実施しないことによるGDPR第24条（1）および第32条（1）および（2）GDPRへの違反
2021-05-04
EDP​​ Comercializadora、SAU
1，500，000ユーロ
スペイン（AEPD）
データ主体に十分な情報を提供せず、データ処理に関連するリスクを回避または軽減するための適切な措置を実施しないことによるGDPR第6条、第13条、第22条、および第25条の違反。
2021-05-04
EDP​​ENERGÍA、SAU
1，500，000ユーロ
スペイン（AEPD）
データ主体に十分な情報を提供せず、データ処理に関連するリスクを回避または軽減するための適切な措置を実施しないことによるGDPR第6条、第13条、第22条、および第25条の違反。
2021-05-06
ヤシの所有者協会
500ユーロ（RON 2，463.30）
ルーマニア（ANSPDCP）
DPAに協力する義務に違反することによる、GDPR第58条（1）（a）、第58条（1）（e）、第83条（5）（e）、および政府条例No2/2001の第8条への違反要求された情報を提供しなかったための調査中
2021-05-11
PVV（オーファーアイセル）
€7，500
オランダ（AP）
101の電子メールアドレスを含むメーリングリストの不正開示による第4条（12）、第9条（1）GDPR、および第33条（1）GDPRへの違反、およびこの違反をDPAに通知しなかった場合。電子メールアドレスは、政党の意見を明らかにする特別なカテゴリのデータを構成していました。
2021-06-16
アマゾンヨーロッパコアサール 746，000，000ユーロ
ルクセンブルク（CNPD）
GDPRに違反した場合のこれまでで最大の罰金。
2021-09-02
WhatsApp Ireland Ltd 2億2500万ユーロ
アイルランド
2021-12-16
Psykoterapiakeskus Vastaamo 608，000ユーロ
フィンランド
機密性の高い医療データの保護の失敗。

参考文献
^ “L_2016119EN.01000101.xml”。eur-lex.europa.eu。2017年11月10日にオリジナルからアーカイブされました。
^ 「HospitalDoBarreiroは、臨床ファイルへの不適切なアクセスを許可したとして、ComissãoNacionaldeProtecçãodeDadosから40万ユーロの罰金を科されました」。2019年6月24日。
^ 「バーデンヴュルテンベルク州のデータ保護当局はGDPRの下で最初のドイツの罰金を発行します」。2018年11月23日。
^ フォックス、クリス（2019年1月21日）。「Googleは4400万ポンドのGDPR罰金でヒットしました」。BBCニュース。
^ ポーター、ジョン（2019年1月21日）。「GoogleはフランスでのGDPR違反に対して5000万ユーロの罰金を科しました」。ザ・ヴァージ。
^ 「ハンガリーはGDPR違反で2社に罰金を科す」。CMS。2019年3月19日。
^ 「ハンガリーはGDPR違反で2社に罰金を科す」。CMS。2019年3月19日。
^ ロマス、ナターシャ（2019年3月30日）。「EUDPAが「急進的な」GDPRのレッドラインを定めているため、データスクレイピングを監視する」。TechCrunch 。
^ クラーク、サム（2019年5月17日）。「ポーランドのウォッチドッグは2番目のGDPR罰金を発行します」。グローバルデータレビュー。
^ 「5Starsはプライバシー制裁に直面して彼らのデジタル民主主義を擁護します」。ポリティコ。2019年4月19日。
^ 「ベルゲン市に課せられる170.000€の行政罰金」。Datatilsynet。2019年4月12日。
^ 「リトアニアの一般データ保護規則の違反に対して最初の重大な罰金が科されました」。2019年5月21日。
^ Fiten、Bernd（2019年6月3日）。「ベルギーで最初のGDPR罰金：市長に2000ユーロが課せられました」。
^ 「ユーザーをスパイするために使用されるアプリでのGDPR違反に対して25万ユーロの罰金が科せられるLaLiga」。TechRepublic 。
^ ガイグナー、ティモシー。「リーガは、モバイルアプリを使用してサードパーティの海賊を捕まえようとしたことで25万ユーロの罰金を科しました」。Techdirt 。
^ 「デンマークのDPAは高級家具会社に設定されました」。2019年6月11日。
^ 「バーデンヴュルテンベルク州のドイツのデータ保護当局は、公共団体の従業員に罰金を科します」。2019年6月24日。
^ Lanois、Paul（2019年6月21日）。「ビデオ監視：CNILはフランスの小さな会社に対して20，000ユーロの罰金を発行します」。フィールドフィッシャー。
^ Lanois、Paul（2019年6月21日）。「ビデオ監視：CNILはフランスの小さな会社に対して20，000ユーロの罰金を発行します」。フィールドフィッシャー。
^ 「EEは違法なテキストに対して£100，000の罰金を科しました」。BBCニュース。2019年6月24日。
^ 「ICOは違法なテキストメッセージを送信したことで通信会社EELimitedに罰金を科しました」。ICO。2019年6月24日。
^ 「Gdprの適用のための最初の罰金」。2019年7月4日。
^ 「ルーマニアの監督当局による最初の罰金」。2019年7月5日。
^ 「ブリティッシュ・エアウェイズは、データ侵害に対して記録的な1億8，300万ポンドの罰金を科せられました」。2019年7月8日。
^ Sweney、Mark（2019年7月8日）。「BAは乗客のデータ侵害に対して1億8300万ポンドの罰金を科せられます」。ガーディアン。ISSN0261-3077 。_   ^ 「英国のICOは、50万人のユーザーからデータを漏えいさせたGDPR違反に対して、ブリティッシュ・エアウェイズに記録的な1億8，300万ポンドの罰金を科しました」。TechCrunch 。
^ 「ICOは顧客の個人データを安全に保つことに失敗したことでMarriottInternationalIncに1840万ポンドの罰金を科します」。2020年10月30日。
^ 「国際航空会社は、顧客の個人データを保護できなかったとして500，000ポンドの罰金を科しました」。2020年3月4日。
^ 「Hagabeboetvooronvoldoendeinternebeveiligingpatiëntendossiers」。2019年7月16日。
^ 「ハーグ病院は患者のプライバシーを保護しなかったために€460，000の罰金を科されました」。2019年7月16日。
^ Lanois、Paul（2019年7月25日）。「CNILは「基本的なセキュリティ対策」の実施に失敗した場合、280.000ユーロの罰金を科します “。フィールドフィッシャー。
^ 「不適切な法的根拠の選択と適用および企業による説明責任の原則の違反に対するGDPRに基づくHellenicDPAの是正権限の行使」。HDPA。2019年7月30日。
^ 「学校での顔認識により、スウェーデン初のGDPRが罰金になります」。EDP ​​B。2019年8月22日。
^ 「データ主体の権利を侵害したハンガリーでの最初のGDPR罰金」。Lexology。2019年2月15日。
^ 「医療部門のオーストリアのDPA罰金管理者」。EDP ​​B。2019年8月12日。
^ 「ラトビアのデータ状態検査官はオンライン小売業者に対して7000ユーロの金銭的ペナルティを課します」。EDP ​​B。2019年9月3日。
^ 「ベルギーのデータ保護当局は10，000ユーロの罰金を課します」。2019年9月19日。
^ 「ポーランドのDPAは、不十分な組織的および技術的保護措置に対して645，000ユーロの罰金を科します」。2019年9月20日。
^ 「スペインのデータ保護局は、同社のWebサイトで使用されているCookieポリシーについてVuelingに30，000ユーロの罰金を科しました」。2019年10月17日。
^ 「BfDIverhängtGeldbußengegenTelekommunikationsdienstleister」。2019年12月9日。
^ 「薬局は、275，000ポンド相当の英国で初めてのデータ保護の罰金を科せられます」。製薬ジャーナル。2019年12月20日。
^ DOSLAKOSKA、ウィクトリア（2020年2月11日）。「マーケティング：イタリアのSAは2780万ユーロの罰金を科せられます」。欧州データ保護委員会-欧州データ保護委員会。
^ ハンセラアー、サラ（2020年3月11日）。「スウェーデンのデータ保護機関はGoogleに罰金を科します」。欧州データ保護委員会-欧州データ保護委員会。
^ 「個人データアクセス料金に対して罰金を科されたNationalCreditRegister（BKR）」。
^ 「Googleが「忘れられる権利」を尊重しなかった場合、60万ユーロの罰金が科せられます」。2020年7月14日。
^ 「H＆Mは従業員の監視を超えてGDPRを破ったことで罰金を科されました」。BBCニュース。2020年10月5日。
^ 「クッキー：会社AMAZON EUROPE CORE|CNILに課せられた3500万ユーロの金銭的ペナルティ」。www.cnil.fr。_
^ 「Cookies：GOOGLE LLC社に対して6000万ユーロ、GOOGLE IRELAND LIMITED|CNIL社に対して4000万ユーロの罰金」。www.cnil.fr。_
^ 「ノルウェーのDPAはGrindrLLCに対して罰金を科します」。edpb.europa.eu。2021年12月21日。
^ 「Miljø-ogKvalitetsledelseAS罰金」。Datatilsynet 。
^ 「Datatilsynet（ノルウェー）-DT-20/01777-GDPRhub」。gdprhub.eu 。
^ 「AEPD-PS/00179/2020-GDPRhub」。gdprhub.eu 。
^ 「AEPD-PS/00126/2020-GDPRhub」。gdprhub.eu 。
^ 「AP制裁CP＆A BV」（PDF）。autoriteitpersoonsgegevens.nl 。
^ 「AP（オランダ）-CP＆A」。gdprhub.eu 。 ^ 「AEPD-PS/00089/2021-GDPRhub」。gdprhub.eu 。
^ “RESOLUCIÓNR/00251/2021DETERMINACIÓNDELPROCEDIMIENTOPORPAGOVOLUNTARIO-ORANGE ESPAGNE、SAU（スペイン語）” （PDF）。aepd.es。_
^ 「AEPD-PS/00151/2020-GDPRhub」。gdprhub.eu 。
^ 「AEPD-PS/00085/2021-GDPRhub」。gdprhub.eu 。
^ “RESOLUCIÓNR/00248/2021DETERMINACIÓNDELPROCEDIMIENTOPORPAGOVOLUNTARIO-VODAFONEESPAÑA、SAU（スペイン語）” （PDF）。aepd.es。_
^ 「DecyzjePrezesaUODO-UODO」。www.uodo.gov.pl（ポーランド語）。
^ 「UODO（ポーランド）-DKN.5130.3114.2020-GDPRhub」。gdprhub.eu 。
^ 「AEPD（スペイン）-PS /00037/2020-GDPRhub」。gdprhub.eu 。
^ 「RESOLUCIÓNDEPROCEDIMIENTOSANCIONADOR-EDPCOMERCIALIZADORA、SAU（スペイン語）」（PDF）。aepd.es。_
^ 「AEPD（スペイン）-PS /00236/2020-GDPRhub」。gdprhub.eu 。
^ 「RESOLUCIÓNDEPROCEDIMIENTOSANCIONADOR-EDPENERGÍA、SAU（スペイン語）」（PDF）。aepd.es。_
^ 「ANSPDCP（ルーマニア）-不動産所有者協会に対する罰金-GDPRhub」。gdprhub.eu 。
^ “Comunicat_Presa_19 _ / _ 05 _ /_2021_1″。www.dataprotection.ro 。
^ 「AP（オランダ）-PVVオーバーアイセル-GDPRhub」。gdprhub.eu 。
^ 「AP制裁PVVOverijssel（オランダ語）」（PDF）。autoriteitpersoonsgegevens.nl 。
^ 「アマゾンは記録的なEUデータプライバシー罰金でヒットしました」。ロイター。2021年7月30日。
^ 「EUはデータの誤用に対して記録的な8億8700万ドルのGDPR罰金を科してAmazonに打撃を与えました」。TechCrunch 。
^ 「データ保護委員会はWhatsAppの問い合わせで決定を発表します」。dataprotection.ie。2021年9月2日。
^ 「PsykoterapiakeskusVastaamolleseuraamusmaksutietosuojarikkomuksesta」。Tietosuojavaltuutetuntoimisto。2021年12月16日。

外部リンク
欧州データ保護委員会